Привет, Хабр!

А теперь представьте, что с вашей карты пытаются списать деньги ?, даже если сайт уже не существует…

В этой статье хочу рассказать как я оформил “пробный доступ” за 1 ₽ - а спустя время начались попытки списать по 999 ₽. Рассказываю, как это устроено и что показала проверка открытых источников.

Содержание статьи

1. Вступление

2. Как работает схема «1 ₽ за пробный период»

3. OSINT-разбор jok-ai.org

4. Что делать, если уже попался

5. Вывод

[Дисклеймер]

Материал подготовлен на основе открытых источников (WHOIS, публичные бизнес-реестры, архивы сайтов, пользовательские отзывы). Все выводы носят предположительный характер. Я не утверждаю о противоправных действиях каких-либо лиц или организаций, а описываю лишь возможные сценарии, выявленные в ходе OSINT-разбора.

На jok‑ai.org я оформил “пробник” за 1 ₽ и забыл. В августе банк показал две попытки списать 999 ₽ - так я и начал выяснять.

Списать им не удалось, так как я не держу деньги на этой карте (она у меня специально для всяких покупок и подписок в интернете, пополняю по мере необходимости, а в основном пустая), так вот, мне стало очень интересно кто это пытается списать у меня 999 ₽, я попытался зайти на сайт jok-ai.org и вот

Без VPN так

Сайт не работает, а попытки списания продолжаются и я решил разобраться с этой схемой “1 ₽ за пробный период».

? Как работает и почему её не замечают.

Схема «1 ₽ за пробный период» — это классическая воронка для подписочных автосписаний.
Выглядит безобидно:

Реклама — вроде «ChatGPT без VPN за 1 ₽». Барьер минимальный (и да, именно на это они и рассчитывают).

Оплата пробника — вводишь карту, шлюз списывает символический рубль и тут же привязывает её токеном. Теперь с карты можно списывать без тебя.

Автопродление — через пару дней (в оферте это спрятано мелким шрифтом) прилетает уже полная сумма. Дальше списания идут по расписанию.

Маскировка — в выписке вместо jok‑ai.org появится что‑то вроде G OMSK RUS или PAYMENT OMSK. Это делается, чтобы вы не вспомнили, где платили (в моем случае было полностью указано, но так не всегда происходит).

Закрытие сайта — когда жалоб слишком много, домен тихо закрывают или меняют, но автосписания продолжаются у платёжного провайдера.

Почему многие не замечают?

1. Малые суммы в начале. Они теряются среди повседневных трат.

2. Нет уведомлений об автосписании, а push/SMS выглядит как обычная покупка.

3. Иллюзия отмены после удаления аккаунта. На самом деле токен карты остаётся активным.

4. Психология «потом разберусь» — время играет против жертвы.

5. Отписаться сложно — процесс специально усложняют.

6. Оферта прикрывает автосписания — формально всё легально, по факту — ловушка.

Признаюсь, в моём случае сработали сразу три пункта: 1, 2 и 4.

⚙️ Что происходит «за кулисами»

Первичная оплата → у платёжного провайдера уже оформлена подписка, хотя вы могли думать, что просто пробуете сервис.

Токен карты → теперь списания идут без повторного ввода данных, и это будет продолжаться до тех пор, пока вы явно их не отмените.

Списания по расписанию → деньги регулярно уходят через банк‑эквайрер юрлица, и никакой «неработающий сайт» этому не помеха.

Вот что я нашел из общедоступных источниках про jok‑ai.org:

1) На сайте Banki.ru пользователи жалуются: «Списывают 999 ₽ каждую неделю! Телефонов нет, на почту писала ‑ не реагируют. В приложении отключить не получается!» tbank.ru

2) На платформе Mail.ruОтветы один из комментаторов прямо пишет: «jok‑ai.org — это Мошенники!!!!... заплатила рубль за пробный период… спустя 3 дня списали 999 ₽, потом ещё через неделю 999 ₽.... Мошенническая схема … выход один — блокировать карту, перевыпустить её. … можно попытаться через банк оспорить, но гарантий никаких.» otvet.mail.ru

3) На сайте Codomaza.com говорится: «Обман, нейросеть не работает, а деньги списывают. Отписаться можно, внизу мелким шрифтом. Но за подписку никто не вернёт.» codomaza.com

4) Другой пользователь отметил: «Пробный период за 1 ₽ 17 мая, а 18 мая списали 998 ₽ — кнопка автоматического продления подписки, я не заметил. Скорее всего придётся перевыпустить карту и делать запрос на возврат средств.» otzyvru.com

Вывод: судя по отзывам, многие люди столкнулись с автоматическими списаниями — от 998 до 999 ₽, после «пробного» платежа. Отказаться от такого «сервиса» крайне проблематично, а отключение подписки или возврат денег часто невозможно.

3. OSINT‑разбор jok‑ai.org

Вот что показал основной базовый OSINT‑цикл по jok‑ai.org

Расшифровка данных WHOIS по jok‑ai.org:

Регистратор: NameCheap, Inc. (это сервис, где купили домен; часто там скрывают данные владельца) → значит, домен куплен через популярного зарубежного регистратора, который позволяет скрывать данные владельца (Privacy Protect).

Дата регистрации: 13 мая 2025. Свежий домен: риск выше → часто у мошеннических схем домены «живут» 3–6 месяцев и меняются.

Дата истечения: 13 мая 2026 → Оплачен на 1 год — типичный срок для тестирования схемы.

Серверы имён (NS):

• shane.ns.cloudflare.com (IP: 108.162.195.57)

• mariah.ns.cloudflare.com (IP: 108.162.194.200)

→ Cloudflare скрывает реальный IP сайта. Это защитный слой — надо будет обходить через исторические DNS‑записи.

Статус домена:

• clientHold — домен временно приостановлен (не обслуживает трафик)

• clientTransferProhibited — запрет на смену регистратора без разрешения владельца.

А вот что показали SecurityTrails Domain History и ViewDNS IP History:

• Истинный хостинг: TimeWeb Ltd.

• IP: 80.76.60.27

• MX‑записей нет — значит, на домене не было почтовых сервисов.

• Платформа Cloudflare: 172.67.197.233 и 104.21.34.44 (это защитный слой, реальный сервер за ним не виден).

Результаты поиска по IP-адресам для «jok-ai.org».

Вот что показал viewdns.info/reverseip/:

Обратный поиск IP-адресов для 80.76.60.27 - на этом сервере размещено 0 доменов.

То, что на IP 80.76.60.27 сейчас 0 доменов, говорит о двух возможных вещах:

1. Сайт убрали с хостинга TimeWeb
    — Домен мог быть на этом IP буквально пару дней, а потом полностью переведен за Cloudflare (или на другой хост).
    — TimeWeb мог отрубить его из‑за жалоб или неоплаты.

2. IP выделенный, но не используется
    — Иногда мошенники арендуют VPS с выделенным IP, размещают там сайт на короткое время, а потом его «пересаживают» на другой IP или хост.

Вот что показали shodan.io и web.archive.org

? Данные из оферты — по документам владелец сайта — ООО «ГАРАНТИЯ» (молодая IT‑компания с минимальной активностью). Банк — АО «ТБанк» (бывш. Тинькофф). Часть реквизитов я скрываю специально.
? Wayback Machine — сайт продавал «ChatGPT 4.0 без VPN» и генерацию контента, внизу были ссылки «Отменить подписку» (работали ли они — вопрос).
? Shodan — IP 80.76.60.27 сейчас пустой. Сайт снят с хостинга, но автосписания могут идти независимо от этого.
? Юрлицо — зарегистрировано 15 марта 2024 года, уставный капитал 10 000 ₽, 1 сотрудник. Судебных дел нет, отчётность минимальная.
? Платёжная цепочка — прямой платёжный шлюз сейчас не видно, но дескриптор «G OMSK RUS» и шаблон работы явно указывают на автопродление через агрегатор. Узнать точный эквайрер можно только запросом в банк по ID транзакции.

? Если бы я копал глубже (эти шаги я не проводил в рамках этой статьи, но они полезны для будущих кейсов):
• Финансовый след — поиск реквизитов в утечках, BIN‑lookup по картам, криптокошельки.
• Цифровые следы владельцев — email в Have I Been Pwned, следы на GitHub, Pastebin.
• Инфраструктура — Reverse WHOIS, SSL‑хэш, Favicon hash.
• Репутация — соцсети, форумы, отзывы.
• Легальная социальная инженерия — задать «наивный» вопрос в поддержку и посмотреть, что ответят.

? 4. Что делать, если уже попался

Вот советы, которые я нашел

Срочно остановить списания. Перевыпустите карту — это надёжнее всего.
? В моём случае банк сразу предложил перевыпуск карты и чарджбэк, но так как списания не прошло, я отказался.
Пробуйте чарджбэк. Пишите в банк: причина — «отмена подписки / услуга не оказана» (Visa/Mastercard 13.2/13.3).
Соберите доказательства. Скриншоты оферты, писем, попыток отписаться.
Сообщите агрегатору и в Роскомнадзор. Иногда это помогает быстрее вернуть деньги.

Вот небольшие советы от специалистов, которые я нашел:

• Никогда не вводить данные карты на сайте с: доменом младше 6 месяцев, обязательным Cloudflare‑прокси и без реальных контактов, подозрительно «выгодным» оффером.

• Использовать виртуальные карты для онлайн‑платежей с лимитом в 100–500 ₽.

• Подключить push/SMS‑уведомления на все списания.

✅ 5. Вывод
Я понял, что такие схемы живут годами потому, что формально они выглядят законно — в оферте мелким шрифтом всё написано, а списания идут через банк, даже если сайт уже закрылся. Люди часто не проверяют выписки, не читают условия и не пытаются вернуть деньги, поэтому организаторы могут просто менять домены и продолжать работу.